Log-Informationen sammeln und auswerten

Anforderungen an ein professionelles Log-Management

Log-Management-Systeme helfen, sicherheitsrelevante Ereignisse im Unternehmensnetz lückenlos zu verfolgen. Dabei müssen Informationen aus verschiedenen Log-Dateien innerhalb kürzester Zeit analysiert und ausgewertet werden. Wir erläutern, was ein leistungsfähiges und professionelles Log-Management-System ausmacht.

Log-Informationen sammeln und speichern zu müssen ist für viele Administratoren und Security- oder Zertifizierungsbeauftragte eine unangenehme Aufgabe. ISO-27xxx-Regularien, der Sarbanes-Oxley-Act (SOX), die Eigenkapitalvorschriften unter Basel-II, der Health Insurance Portability and Accountability Act (HIPAA) und der Payment Card Industry Data Security Standard (PCI-DSS) zwingen Unternehmen jedoch dazu, Informationen über ihren Netzwerkverkehr für eine bestimmte Zeit zu speichern. Im Falle sicherheitskritischer Ereignisse müssen diese schließlich auch im Nachhinein noch analysiert werden können.

Log-Dateien enthalten zwar viele Informationen, die bei richtiger Auswertung einen umfangreichen "Live"-Überblick über Probleme und Sicherheitsvorfälle liefern. Aber genau darin besteht auch das Problem: Selbst in mittelständischen Unternehmen erreichen die Log-Dateien von Servern, Betriebssystemen, Datenbanken und Netzwerkkomponenten unter Umständen mehrere Gigabyte pro Stunde. Der Großteil der Informationen ist nicht sicherheitsrelevant, muss aus regulatorischen Gründen häufig aber trotzdem mitgespeichert werden. Vorhandene Datenbanklösungen helfen häufig nicht mehr weiter - gerade dann, wenn es um die detaillierte Auswertung und Korrelation unterschiedlicher Log-Dateien geht. Um die Datenberge besser in den Griff zu bekommen, sollten Unternehmen deshalb auf dezidierte Log-Management-Systeme zurückgreifen.

Spurensuche: In einem einfachen Logfile lässt sich bereits genau erkennen, von welcher IP-Adresse aus ein (unbefugter) Netzzugriff erfolgte.
Spurensuche: In einem einfachen Logfile lässt sich bereits genau erkennen, von welcher IP-Adresse aus ein (unbefugter) Netzzugriff erfolgte.
Foto: ProSoft

Sammeln und speichern - das einfache Log-Management

Moderne Log-Management-Software sammelt alle Log-Dateien im Unternehmen ein und speichert sie manipulationssicher ab, um sie anschließend an einen speziellen Log-Server zu übertragen. Sollte die Verbindung hierhin unterbrochen sein, werden die Daten zwischengespeichert. Wichtig ist, dass gespeicherte oder archivierte Log-Dateien nicht im Zugriffsbereich des Administrators liegen.

Einige regulatorische Vorschriften erfordern den verschlüsselten Transfer zum Log-Server, sobald dieser über ein öffentliches Netzwerk erfolgt. Zumindest die Log-Einträge, die Anmeldedaten oder andere personenbezogenen Daten enthalten, sollten grundsätzlich immer verschlüsselt übertragen werden oder durch eine gegenseitige Sender-Empfänger-Zertifizierung sichergestellt sein.